Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

31 oct>
7 nov

⚡TL;DR

Esta semana se conoció una de las mejores historias cyber de 2025: tres empleados que habían trabajado en empresas de ciberseguridad fueron acusados por el FBI de trabajar con BlackCat, uno de los grupos de ransomware más reconocidos de la escena.

El caso muestra las dificultades que enfrentan las industrias en relación a cuán expuestos se puede estar ante un ciberataque, a saber, la amenaza del insider o “topo” (el empleado infiel que aprovecha sus accesos o permisos para ir en contra de su propia organización).

Entre los desafíos futuros, si durante los últimos años tuvimos palabras de moda como zero trust, supply chain y -claro- IA, el concepto de insider debería empezar a ganarse un lugar en las conferencias y convenciones de hacking y ciberseguridad de 2026.

En otras noticias, Corea del Norte (recomiendo este research de Quetzal/Bitso, de paso) está en la mira porque bancos lavan dinero para el cibercrimen, en una pieza más de una estructura cibercriminal que explotan mucho durante estos últimos años: dinero de robos cripto para financiar programas nacionales.

Otra información relevante tuvo que ver con una investigación que identificó colaboraciones entre cibercriminales y el crimen organizado para robar cargamentos. Entre datos curiosos, un reporte de Kela reconoce a un atacante identificado como “303” con un hacker que estaría en Uruguay.

En Buenos Aires, autoridades del Ministerio de Educación prohibieron el videojuego Roblox para minimizar casos de grooming.

Algunos de los robos cripto de la semana, para no perder la costumbre: 10.8 millones de dólares de la plataforma Garden y 128 millones de Balancer DeFi.

Y la perlita que salió en todos lados fue sin dudas la contraseña débil del Louvre, luego de un robo que salió en titulares en medios de todo el mundo: “Louvre” para los sistemas de seguridad.

Me quedo con otro dato, que hizo menos ruido, pero que me trajo paz mental: Microsoft arregló este problema y, después de 10 años, Actualizar y apagar ahora sí apaga el equipo. Yo siempre pensé que era un tema de mi computadora.

En esta edición:

• 🥷 Acusan a tres empleados de empresas de ciberseguridad: trabajaban con BlackCat Ransomware

• 💰 Sancionan a bancos y empresas de Corea del Norte por lavar dinero del cibercrimen

• 🚚 Ciberdelincuentes colaboran con el crimen organizado para robar cargamentos

• 🎮 Roblox, prohibido en escuelas de la Ciudad de Buenos Aires

• 🗼 La contraseña del Louvre era “Louvre”

• 🔑 Credenciales robadas, uno de los problemas más grandes de 2025

⏰ Substack dice que leer este correo completo lleva 13 minutos

Dark News #174

Espacio publicitario

¿Te fascina saber cómo piensan los atacantes? Nuestra plataforma y equipo operan desde una mirada ofensiva, para anticiparse a los riesgos reales. Faraday escanea y organiza vulnerabilidades, automatiza tareas repetitivas y convierte información técnica en decisiones claras. Porque la mejor defensa es siempre estar un paso adelante.

Más información, clic en este enlace.

Acusan a tres empleados de empresas de ciberseguridad: trabajaban con BlackCat Ransomware

El Departamento de Justicia de EE.UU. acusó a tres exempleados de empresas de respuesta a incidentes, DigitalMint y Sygnia, de haber participado en ataques de ransomware de BlackCat (ALPHV) contra cinco compañías estadounidenses entre mayo y noviembre de 2023.

Los fiscales sostienen que los acusados actuaron como afiliados del grupo, infiltrando redes, robando datos, cifrando sistemas y exigiendo pagos en criptomonedas.

Quiénes son. Los imputados son Kevin Tyler Martin (28) de Texas, Ryan Clifford Goldberg (33) de Georgia y un cómplice aún no identificado. Martin y el tercero trabajaban como negociadores de ransomware en DigitalMint, mientras que Goldberg fue gerente de respuesta a incidentes en Sygnia. Podrían enfrentar hasta 50 años de prisión.

Cómo operaban. Según la acusación, atacaron a una empresa fabricante de dispositivos médicos en Tampa, una farmacéutica en Maryland, una oficina médica y una firma de ingeniería en California, y una empresa de drones en Virginia. Las demandas de rescate iban de 300.000 a 10 millones de dólares. Solo la compañía de Tampa pagó: 1.27 millones, tras un pedido inicial de 10 millones.

Advertencias. El caso revive sospechas sobre el trabajo conjunto entre negociadores de ransomware y los propios atacantes. En 2023, el Departamento de Estado de EE.UU. ya investigaba a un exempleado de DigitalMint por facilitar pagos a bandas de ransomware.

En 2019, ProPublica reveló que varias firmas de “recuperación de datos” pagaban rescates en secreto mientras cobraban a sus clientes por supuestos servicios de restauración.

Sancionan a bancos y empresas de Corea del Norte por lavar dinero del cibercrimen

Estados Unidos impuso sanciones a ocho ciudadanos y dos entidades financieras de Corea del Norte acusadas de lavar fondos obtenidos mediante ciberataques. Según el Departamento del Tesoro, el dinero se usó para financiar el programa nuclear y de misiles del régimen.

Contexto. Los hackers vinculados a Pyongyang robaron más de 3.000 millones de dólares en activos digitales en los últimos tres años a través de malware y ataques de ingeniería social. El Tesoro señaló que el Gobierno norcoreano instruye directamente a sus grupos de hacking para recaudar fondos mediante actividades ilícitas.

Los sancionados. Entre los apuntados figuran los bancos Ryujong Credit Bank y First Credit Bank, así como la empresa Korea Mangyongdae Computer Technology Company (KMCTC), acusada de operar trabajadores IT en China. Los sancionados habrían movido fondos a través de China y Rusia para evadir sanciones y canalizar dinero ligado a ransomware.

Por qué importa. Las sanciones buscan cortar una de las principales fuentes de financiamiento del régimen: el cibercrimen. Con capacidades comparables a las de China y Rusia, Corea del Norte usa el hacking para espionaje o sabotaje y como política económica para sostener su desarrollo armamentístico.

Ciberdelincuentes colaboran con el crimen organizado para robar cargamentos

Una investigación de Proofpoint detectó una nueva modalidad en la que grupos de hackers colaboran con redes criminales tradicionales para infiltrarse en empresas de transporte y robar cargamentos completos.

Cómo operaban. El esquema apunta a transportistas y brokers de carga: los atacantes infectan sus sistemas con malware de acceso remoto para secuestrar embarques y redirigirlos. Las mercancías robadas se venden online o se envían al extranjero.

El impacto. El robo de carga aumentó 27% en 2024 y se prevé otro 22% en 2025, según el National Insurance Crime Bureau, que estima pérdidas anuales por US$35.000 millones. Proofpoint detectó al menos tres grupos distintos realizando este tipo de ataques y más de 20 campañas en los últimos meses.

El método. Los hackers combinan ingeniería social con conocimiento del negocio logístico. Se hacen pasar por intermediarios legítimos en plataformas de carga, enviando correos con enlaces maliciosos a transportistas que buscan nuevos contratos. La urgencia por asegurar un envío hace que muchos hagan clic sin verificar.

Roblox, prohibido en escuelas de la Ciudad de Buenos Aires

El Ministerio de Educación porteño bloqueó el acceso a Roblox en todas las redes del sistema educativo de la Ciudad. La medida, vigente desde el 31 de octubre, busca prevenir grooming, exposición a contenido inapropiado y conductas adictivas entre estudiantes.

Qué pasó. El caso se disparó tras la denuncia de una familia por un hecho de grooming ocurrido fuera del ámbito escolar. Desde entonces, los alumnos no pueden acceder a Roblox si están conectados al WiFi de la escuela. “Las escuelas deben ser espacios seguros también en el mundo digital”, dijo la ministra de Educación porteña, Mercedes Miguel.

Por qué importa. Roblox es una de las plataformas más usadas por menores y combina videojuegos customizados con creación de mundos, chats abiertos y sistemas de recompensa. Según argumentan las autoridades, esa mezcla plantea riesgos de contacto con desconocidos, exposición a material sensible y uso compulsivo.

El contexto. El bloqueo forma parte de las políticas de seguridad digital del distrito, que incluyen filtros de contenido, antivirus ESET en los dispositivos del Plan Sarmiento y un Protocolo de Violencia Digital 2025 para casos de ciberacoso o grooming.

Qué significa. El Ministerio aclaró que no busca prohibir Roblox fuera de la escuela, sino resguardar a los estudiantes dentro de redes bajo su responsabilidad. La consigna es que los entornos digitales escolares sean tan seguros como las aulas físicas.

La contraseña del Louvre era “Louvre”

El diario Libération reveló que el robo de joyas ocurrido el mes pasado en el Museo del Louvre tuvo como una de sus causas prácticas de seguridad digital nulas: la contraseña del sistema de videovigilancia era “Louvre”, y un software provisto por Thales usaba como password la misma palabra: “Thales”.

Seguridad. A pesar de que la ministra de Cultura, Rachida Dati, aseguró que los sistemas del museo “no fallaron”, los expertos venían advirtiendo problemas desde hace más de una década. La Agencia Nacional de Ciberseguridad de Francia (ANSSI) había señalado que la red interna del museo funcionaba con sistemas obsoletos, como Windows 2000, sin actualizaciones de antivirus.

Auditorías. Un informe de 2017 advertía que “la amenaza de un ataque con consecuencias potencialmente dramáticas” ya no podía ser ignorada. No está claro si esas fallas se corrigieron ni si las contraseñas fueron cambiadas antes del robo.

El golpe. El 19 de octubre, ladrones disfrazados de obreros se llevaron ocho piezas de las Joyas de la Corona francesa, valuadas en unos 88 millones de euros (más de 100 millones de dólares). Cuatro sospechosos fueron detenidos y la fiscalía de París cree que se trató de delincuentes comunes, no de crimen organizado.

Expertos estiman que arreglar los sistemas de seguridad llevará años.

Credenciales robadas, uno de los problemas más grandes de 2025

Un reporte de Fortinet muestra que la mayoría de los incidentes de seguridad investigados en 2025 no comenzaron con exploits sofisticados, sino con inicios de sesión legítimos.

Los atacantes están usando credenciales robadas y herramientas de acceso remoto legítimas para infiltrarse en redes corporativas, camuflándose entre el tráfico normal.

El cambio de táctica. En lugar de malware complejo, los grupos financieros prefieren métodos simples y baratos, como contraseñas robadas, VPN sin MFA y software remoto como AnyDesk o Atera. En muchos casos, el “ataque” fue apenas un inicio de sesión exitoso dentro de una rutina empresarial.

Por qué funciona. Estas operaciones son silenciosas, baratas y difíciles de detectar: los movimientos parecen legítimos y los sistemas basados en malware no registran anomalías. En foros clandestinos, las credenciales corporativas se venden desde US$500.

La conclusión. “Los atacantes no necesitan irrumpir: simplemente inician sesión”, resume Fortinet. La defensa, advierte, debe dejar de enfocarse solo en malware y priorizar la visibilidad sobre credenciales, accesos y actividad de usuario.

🔓 Breaches y hacks

• Más de 400 mil sitios de WordPress son vulnerables a una falla en el plugin Post SMTP

• Atacantes asociados a Rusia apuntan a redes en Bélgica con DDoS

• La Universidad de Pensilvania confirma información robada en un ciberataque

🔒 Ransomware

• Extraditan a un exmiembro de Conti

• Grupos de ransomware explotan activa una vulnerabilidad de Linux

• LockBit tendría una versión 5.0

💣 Exploits y malware

• Campaña contra periodistas abusa mails en Substack para phishing

• Falla crítica en Cisco UCCX

• Google descubre una campaña de malware que usa la IA de Gemini: PROMPTFLUX

🔍 Threat intel y vulnerabilidades

• Nuevo perfil de Scattered LAPSUS$ Hunters

• Entrevista con un desarrollador de Aura Infostealer

• Reportes: GitHub, Google, Trellix, DataDog, BeyGoo, Crowdstrike, Proofpoint, ReliaQuest.

🛠️ Tools y updates

• Microsoft parchea una vulnerabilidad de Teams

• Apple lanza actualizaciones de seguridad

• Google actualiza su política de autofill y agrega licencias de conducir

📋 Privacidad y regulaciones

• Una investigación expone lo fácil que es comprar datos a data brokers en Europa

• EE.UU. hará reconocimiento facial de todos los extranjeros que quieran entrar al país

• Australia expande la prohibición a redes sociales a chicos: Kick y Reddit

Share