Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

06~13
feb

⚡TL;DR

Semana fuerte para discusiones de privacidad, anonimato en internet y vigilancia masiva. Discord generó polémica por comenzar a pedir verificar identidad para “protección de menores”. Van a bloquear contenido para adultos por default, salvo que el usuario pruebe su mayoría de edad con un documento oficial o un sistema de reconocimiento facial.

La noticia despertó la respuesta de la Electronic Frontier Foundation y otras organizaciones de defensa de derechos digitales de la sociedad civil. Incluso, creció la búsqueda en Google de “alternativas a Discord” un 10.000 por ciento.

El caso, me decía Carolina Martínez Elebi en una charla informal esta semana, es un clásico dilema: cómo proteger a los menores y sacarse de encima bots, por un lado, vs. garantizar una internet libre y sin recolección masiva de datos que, argumentan muchos, siempre terminan filtrados (“No uses tecnología que no puedas asegurar”).

Y sobre todo, sin vigilancia: eso mismo se le criticó a Amazon Ring con su aviso del Super Bowl con un producto para encontrar mascotas perdidas que fue interpretado como una red de control de usuarios e invasión a la privacidad muy fuerte.

La campaña, para muchos, es maquiavélicamente eficiente: Amazon pagó hasta 10 millones de dólares para promocionar ante 120 millones de personas una función activada por defecto, que pone a operar con IA a unas 19 millones de cámaras de vigilancia frontales en hogares de EE.UU.

Es, para algunos, una red privada de vigilancia conectada a fuerzas de seguridad a un costo bajísimo y encima con rédito económico (los usuarios pagan una suscripción).

Encontré también una entrevista a Moxie Marlinspike, fundador de Signal, donde dice categóricamente que “Telegram no es una app de mensajería privada, es lo opuesto”. En la comunidad cyber es algo sabido, pero la explicación vale la pena.

Párrafo aparte para la IA esta semana. Renunció el investigador de seguridad de Anthropic y dijo que “el mundo está en peligro” (en una tendencia de muchas otras renuncias en el rubro). Hubo dos tuits bastante virales sobre IA. Uno, muy a favor. Otro, bastante en contra. Recomiendo leer los dos. También salió un estudio que dice que los que tienen más síntomas de burnout son quienes más abrazan la IA.

Al final, venía a sacarnos trabajo de encima y, en algunos casos, la presión por ser productivo y “usar IA” se está volviendo en contra.

En esta edición:

• ✋ Discord disparó la polémica con la verificación de identidad de sus usuarios

• 🐶 Amazon Ring lanza un sistema para buscar perros perdidos y despierta polémica por vigilancia masiva

• 🔓 Moxie Marlinspike (Signal): “Telegram no es una app de mensajería privada, es lo opuesto”

• 🦞 Crece el número de instancias comprometidas de OpenClaw: 30.000

• 🤖 Check Point Research: más ciberataques en 2026, empujados por el ransomware y GenAI

⏰ Substack dice que leer este correo completo lleva 13 minutos

Dark News #185

Espacio publicitario

Acceder al reporte completo, en este enlace

Discord disparó la polémica con la verificación de identidad de sus usuarios

Discord anunció que desde marzo activará verificación de edad a nivel global y pondrá todas las cuentas en modo “experiencia apropiada para adolescentes” por defecto, salvo que el usuario demuestre que es adulto.

Qué cambia. Quienes no estén verificados como mayores no podrán entrar a servidores o canales con restricción de edad, ni participar en los “stage” tipo livestream. Además, verán filtros para contenido gráfico o sensible, alertas ante solicitudes de amistad de desconocidos y los mensajes directos de usuarios no familiares irán a una bandeja separada.

Cómo funciona. Para la mayoría de los adultos no hará falta subir documentación: Discord usará un modelo de inferencia de edad basado en datos de la cuenta como antigüedad, dispositivo y patrones agregados de actividad.

Si el sistema no puede estimar la edad, el usuario deberá optar entre un video selfie para estimación facial con IA (que, según Discord, no sale del dispositivo) o subir una foto de un documento a un proveedor externo. La empresa asegura que las imágenes se borran inmediatamente tras la confirmación y que no se almacenan datos como nombre o ciudad.

Contexto. La medida se inscribe en la ola global de presión regulatoria para reforzar controles de edad y protección de menores. Para la Electronic Frontier Foundation, son pasos hacia una internet con controles más estrictos donde la privacidad queda en un lugar disputado.

Preocupación. En octubre del año pasado hubo una filtración de datos de Discord. Muchos usuarios argumentan que verificar identidad podría derivar en datos personales leakeados.

Dark News consultó a Martín Becerra, investigador del Conicet, para entender por qué hay tanto ruido con este tema:

No hay tecnología de verificación de edad que no sea invasiva. La menos invasiva, y que algunas grandes tecnológicas aplican por defecto, es la inferencia de edad, que de por sí supone la previa recolección de datos personales de usuarios de todas las edades, la elaboración de perfiles con miles de variables, proceso que excede con creces los permisos formales que los usuarios de esas plataformas les dan a las empresas cuando habilitan una cuenta.

Respecto del contexto de esta discusión, explicó el también profesor de la Universidad Nacional de Quilmes y de la Universidad de Buenos Aires:

Ahora bien, la inferencia de edad muchas veces va acompañada de otras técnicas de verificación (reconocimiento facial y de voz, documentación) que son menos respetuosas de la privacidad de los usuarios. El gobierno australiano, que en diciembre último prohibió la habilitación de cuentas en algunas de las redes más grandes (Discord no está entre ellas) a menores de 16 años, hizo un estudio al respecto y allí se muestra el clásico de los clásicos en este tema: el conflicto entre privacidad/libertad y seguridad/protección.

Por último, destacó que “en los hechos, más allá de regulaciones legales como la australiana, hace muchos años que las grandes plataformas vulneran la privacidad, la libertad, la seguridad y la protección de los usuarios”.

Becerra escribió un artículo donde tematiza sobre “las redes sociales y las fallas de la política” que profundiza sobre esta discusión.

Amazon Ring lanza un sistema para buscar perros perdidos y despierta polémica por vigilancia masiva

Un aviso de 30 segundos en el Super Bowl desató críticas contra la empresa por promocionar su nueva función “Search Party”, que usa IA para rastrear perros perdidos a través de cámaras Ring de vecinos. Para muchos, fue una demostración de vigilancia masiva en el horario central del evento televisivo más grande de Estados Unidos.

Qué pasó. Search Party permite subir la foto de una mascota a la app Neighbors y escanear en la nube las grabaciones de cámaras Ring para encontrar coincidencias. Si detecta al perro, avisa al dueño de la cámara, que decide si comparte el video. La función viene activada por defecto en cámaras exteriores con suscripción paga.

El temor. Usuarios y expertos advirtieron que si la IA puede identificar perros, el salto a buscar personas no es muy grande, sobre todo tras el lanzamiento reciente de reconocimiento facial (“Familiar Faces”).

El senador demócrata Ed Markey dijo que “no se trata de perros, sino de vigilancia masiva”.

Contexto. Las críticas apuntan a la relación de Ring con fuerzas de seguridad y a su alianza con Flock Safety, empresa que provee lectores automáticos de patentes y sistemas de videovigilancia a agencias policiales en EE.UU. Flock fue señalada por permitir acceso a datos a ICE.

La respuesta. Ring sostiene que Search Party “no puede procesar biometría humana” y que el reconocimiento facial funciona a nivel individual, sin base de datos compartida.

Moxie Marlinspike (Signal): “Telegram no es una app de mensajería privada, es lo opuesto”

Moxie Marlinspike, fundador de Signal, cuestionó en una entrevista publicada esta semana la reputación de Telegram como app segura y dijo que su reputación como “más privada” que otras es “uno de los grandes misterios de internet”.

Según su visión, Telegram no es un servicio cifrado de extremo a extremo sino un mensajero en la nube que almacena todos los mensajes en texto plano en servidores centralizados (aclaración: los mensajes no están cifrados por defecto en Telegram).

Qué pasó. Marlinspike aseguró que Telegram “no es un mensajero privado” y que cada mensaje enviado o recibido queda guardado en una base de datos a la que la empresa tiene acceso. Como prueba simple: si un usuario instala Telegram en un teléfono nuevo, todos sus chats reaparecen automáticamente. Eso, dijo, demuestra que el contenido está almacenado de forma centralizada.

Signal. “Un servicio como Signal no podría responder a un pedido judicial de contenido porque no tiene acceso a esos datos”, explicó. En cambio, Telegram sí podría hacerlo.

El caso Durov. El fundador de Telegram, Pavel Durov, fue arrestado en Francia por no cumplir con citaciones judiciales vinculadas a material de abuso infantil. Dice en la entrevista:

Pavel Durov fue arrestado en Francia porque Telegram no cumplió con las citaciones judiciales relacionadas con pornografía infantil. La gente intentó enmarcar esto como parte de un “debate sobre el cifrado”, pero esto no tiene nada que ver con el cifrado, ya que Telegram tiene acceso a los datos y simplemente decidió no responder.

Marketing vs. criptografía. Telegram, sostuvo, logró instalar la idea de que es una app cifrada gracias a una estrategia de PR agresiva. La definió como “un clon pixel por pixel de WhatsApp” que convenció al mundo de que era una alternativa más segura, cuando en realidad su arquitectura es distinta a la de servicios diseñados desde cero para no poder acceder al contenido de los usuarios.

Espacio publicitario

Crece el número de instancias comprometidas de OpenClaw: 30.000

OpenClaw, agente open source con acceso a servicios y sistemas del usuario, registró la semana pasada una exposición de datos. Ahora, Bitsight detectó más de 30.000 instancias accesibles públicamente entre el 27 de enero y el 8 de febrero.

Los números. A partir de escaneos diarios sobre el puerto por defecto (18789), Bitsight identificó más de 30.000 instancias de OpenClaw (antes Clawdbot y Moltbot) expuestas en menos de dos semanas. La semana pasada fue furor por Moltbot, red social de agentes de IA.

El riesgo. Para habilitar acceso remoto, muchos usuarios desplegaron el servicio en servidores cloud y lo dejaron accesible por HTTP. Aunque OpenClaw exige autenticación en sus versiones actuales, no impone reglas de complejidad: incluso tokens mínimos son válidos.

Honeypots montados por investigadores comenzaron a recibir intentos de explotación a los pocos minutos.

Check Point Research: más ciberataques en 2026, empujados por el ransomware

Los ciberataques globales arrancaron 2026 en alza, impulsados por más ransomware y mayor exposición de datos ligada al uso masivo de GenAI. En enero, las organizaciones recibieron en promedio 2.090 ataques por semana: +3% mensual y +17% interanual, según Check Point Research.

Ransomware. Se reportaron 678 ataques, un 10% más que un año atrás. Norteamérica concentró el 52% de las víctimas y Estados Unidos, el 48%. Los blancos principales fueron servicios empresariales, consumo y manufactura, sectores donde cada hora de caída impacta directo en ingresos.

Grupos. Qilin lideró con 15% de los ataques reportados, tras reforzar su ecosistema en Rust y reclutar afiliados. LockBit (12%) mantuvo su modelo de doble extorsión. Akira (9%) siguió apuntando a Windows, Linux y entornos ESXi. El ransomware as a service sigue profesionalizándose.

América Latina. Fue la región más golpeada en enero: 3.110 ataques semanales por organización en promedio, con un salto interanual del 33%, el mayor a nivel global. El dato confirma que la aceleración digital en la región viene acompañada de una presión creciente de ransomware y campañas masivas automatizadas.

🔓 Breaches y hacks

• Flickr notifica un breach a sus usuarios

• Nueva campaña genera QR falsos para autenticar usuarios

• Odido (Telco de Países Bajos) confirma un data breach: 6,2 millones afectados

🔒 Ransomware

• Jaguar Land Rover perdió cerca de 230 millones de dólares por el ransomware del año pasado

• BridgePay sufre un ransomware

• El Gobierno de Senegal, extorsionado por un ransomware

💣 Exploits y malware

• Apple publica el primer zero-day de 2026

• Anthropic encuentra 500 vulnerabilidades severas en proyectos open-source

• Atacantes explotan vulnerabilidades en Ivanti EPMM para vender accesos (IAB)

🔍 Threat intel y vulnerabilidades

• Signal advierte sobre una campaña de phishing

• Fortinet revela el paso de la IA como riesgo teórico a casos concretos de uso del cibercrimen

• Reportes: Wordfence, Coveware, Check Point, Juniper, Intel471, Chainalysis, Recorded Future, Flashpoint, Kaspersky.

🛠️ Tools y updates

• Fortinet parchea una inyección SQL en FortiClient EMS

• ESET parchea un escalado de privilegios en su agente de Windows

• Microsoft parchea 58 vulnerabilidades (seis zero-days)

📋 Privacidad y regulaciones

• La Unión Europea publicó una investigación sobre TikTok y advierte sobre su “diseño adictivo”

• Rusia vuelve a restringir el uso de Telegram y WhatsApp

• Disney acordó pagar 2,75 millones al Estado de California por no cumplir con el “opt-out” de sus usuarios

Share