Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

20~27
feb

⚡TL;DR

El negocio del ransomware es cada vez menos rentable: los pagos por rescates de información y sistemas cifrados están en su mínimo histórico. Pero a su vez, hay más ataques, según Chainalysis, plataforma que analiza datos de blockchains.

Esta aparente contradicción refleja un cambio en la economía del ransom, donde los grupos lanzan más ofensivas porque cada vez menos víctimas aceptan pagar. Los diversos arrestos de los últimos años y la fragmentación del ecosistema redujeron la tasa de conversión, pero los atacantes compensan con mayor volumen y con rescates más altos a quienes sí negocian. Menos eficiencia en el modelo de negocio no significa menos actividad.

Por otro lado, esta semana estuvo repleta de noticias de Claude, el chatbot de Anthropic, uno de los principales jugadores en el terreno de la inteligencia artificial. Hubo dos de tinte geopolítico: una extracción y robo de datos gubernamentales de México y una disputa con el Pentágono.

Anthropic, fundada en 2021 por Dario Amodei, un ex-OpenAI que se alejó de Sam Altman por diferencias sustanciales en cuanto a la seguridad del modelo (recomiendo el libro de Karen Hao Empire of AI), tiene un lugar importante en la discusión por la seguridad de los sistemas de la actualidad. Claude Code es la IA más usada para programar y, a la vez, revisar código, encontrar vulnerabilidades y corregirlas.

Por coincidencia, también, uno de los podcasts que más escucho (el de Ezra Klein) fue una entrevista de una hora y media a Jack Clark, uno de los cofundadores de Anthropic que creo que vale la pena escuchar para entender un poco mejor la película más allá de la foto.

En otros temas, lanzaron una investigación contra Pavel Durov, fundador de Telegram, en Rusia. CrowdStrike sacó un reporte que muestra cómo se redujo el tiempo entre el breakout y el movimiento lateral.

Y la perlita de la semana: hackearon casi 7 mil aspiradoras con un RCE y las pudieron manejar remotamente con un control de PlayStation.

En esta edición:

• 🔒 Ransomware: caen los pagos al mínimo histórico pero aumentan los ataques

• 🏛 Usan Claude para robar datos del Gobierno de México

• 🤖 Anthropic acusa a tres empresas chinas de robarle información

• 📲 Rusia lanza una investigación criminal contra Pavel Durov, fundador de Telegram

• 🥷 CrowdStrike: el paso al movimiento lateral se redujo a 29 minutos

• Hackean aspiradoras robot y las manejan remotamente con un control de PlayStation

⏰ Substack dice que leer este correo completo lleva 13 minutos

Dark News #187

Espacio publicitario

Acceder al reporte completo, en este enlace

Ransomware: caen los pagos al mínimo histórico mientras aumentan los ataques

La tasa de víctimas que pagan rescates cayó al 28% en 2025, el nivel más bajo registrado, pese a que los ataques de ransomware crecieron un 50% interanual, según la empresa de análisis blockchain Chainalysis.

Qué pasó. Solo el 28% de las víctimas aceptó pagar en 2025. En 2024 la tasa había sido 62,8% y en 2022, 78,9%. Es el cuarto año consecutivo de caída.

Los números. Los pagos on-chain suman 820 millones de dólares en 2025, aunque la compañía estima que el total final podría acercarse o superar los US$ 900 millones a medida que se atribuyan más casos.

La paradoja. Aunque la cantidad total de pagos se mantuvo relativamente estable, los ataques reclamados aumentaron 50% interanual.

Más fragmentación. En 2025 se identificaron 85 grupos activos de extorsión, muy por encima de años anteriores dominados por pocos actores y plataformas RaaS.

Casos emblemáticos. El reporte menciona el ataque a Jaguar Land Rover, con daños estimados en 2.500 millones; la intrusión en Marks & Spencer atribuida a Scattered Spider; y la brecha en DaVita Inc. que expuso 2,7 millones de registros de pacientes.

Acceso inicial. Los brokers de acceso inicial generaron 14 millones de dólares en 2025, apenas 1,7% del total del negocio, pero los picos en sus ingresos anticipan, unos 30 días después, subas en pagos y publicaciones en sitios de filtración.

Más barato entrar. El precio promedio de acceso a redes cayó de 1.427 dólares en el primer trimestre de 2023 a 439 en el primer trimestre de 2026, impulsado por automatización, herramientas asistidas por IA y sobreoferta de credenciales robadas.

Método. Chainalysis identifica billeteras atribuidas a grupos específicos a partir de notas de rescate, negociaciones y forense compartido por víctimas. Luego, mediante clustering on-chain, agrupan direcciones vinculadas al mismo actor rastreando patrones de consolidación de fondos y movimientos a exchanges. Y también cruzan esos datos con inteligencia off-chain de empresas de respuesta a incidentes, leak sites (DLS) y sanciones oficiales.

Usan Claude para robar datos del Gobierno de México

Un hacker usó el chatbot Claude, de Anthropic, para lanzar una campaña de ataques contra organismos públicos de México y robar 150 GB de información sensible, según la startup israelí Gambit Security.

Cómo hizo. El atacante redactó prompts en español para que la IA actuara como un “hacker de élite”: identificó vulnerabilidades, generó scripts para explotarlas y automatizó la exfiltración de datos, informó Bloomberg.

La actividad comenzó en diciembre y duró cerca de un mes. Los investigadores dicen que se sustrajeron registros fiscales vinculados a 195 millones de contribuyentes, padrones electorales, credenciales de empleados públicos y archivos de registro civil.

Los blancos. Según Gambit, fueron comprometidos la autoridad fiscal federal, el instituto electoral nacional, gobiernos estatales como Jalisco, Michoacán y Tamaulipas, el registro civil de Ciudad de México y la empresa de agua de Monterrey. Varias dependencias negaron haber detectado intrusiones.

Evasión. Claude inicialmente advirtió sobre la intención maliciosa, pero el usuario insistió hasta lograr un jailbreak que eludió sus guardrails. Cuando necesitó apoyo adicional, recurrió también a OpenAI y su modelo ChatGPT para obtener orientación técnica. Ambas compañías dijeron haber bloqueado las cuentas involucradas tras la investigación.

Contexto. En noviembre, Anthropic afirmó haber desbaratado una campaña de ciberespionaje orquestada con IA atribuida a actores vinculados a China. La carrera por desarrollar modelos más potentes convive con un uso creciente por parte de ciberdelincuentes.

Anthropic acusa a tres empresas chinas de robarle información

Anthropic acusó a tres compañías chinas de crear más de 24.000 cuentas fraudulentas para “destilar” (extraer información) de su modelo Claude y usarla para entrenar sistemas propios, informó el Wall Street Journal.

Según un post oficial de la empresa, DeepSeek, Moonshot y MiniMax realizaron más de 16 millones de interacciones con Claude con ese objetivo.

Destilación. Es una técnica con usos legítimos, como comprimir modelos propios para hacerlos más eficientes. Pero también sirve para clonar funcionalidades de sistemas ajenos “en una fracción del tiempo y del costo”, dijo Anthropic. En la práctica, un competidor puede alimentar un sistema con las respuestas de otro hasta replicar su comportamiento.

Antecedentes. No es la primera acusación. A principios de marzo, OpenAI envió un memo a legisladores de la Cámara de Representantes de EE.UU. señalando que DeepSeek usó destilación para imitar sus productos. El caso DeepSeek venía siendo observado desde 2024, cuando su irrupción en el radar de la IA generó sospechas sobre cómo había logrado ese nivel sin acceso a los chips más avanzados.

La respuesta de DeepSeek. En un paper actualizado en septiembre, la empresa explicó que durante la fase final de preentrenamiento de su modelo V3 usó exclusivamente páginas web y libros electrónicos, sin incorporar datos sintéticos.

Pero aclararon que algunas de esas páginas contenían “un número significativo de respuestas generadas por modelos de OpenAI”. Es decir: DeepSeek (por nombrar uno) pudo haber aprendido indirectamente de otros sistemas a través del contenido público que estos generaron.

Rusia lanza una investigación criminal contra Pavel Durov, fundador de Telegram

Las autoridades rusas abrieron una investigación penal contra el fundador y CEO de Telegram, Pavel Durov, acusado de facilitar actividades terroristas al no responder pedidos de baja de contenido.

La causa fue revelada por el diario oficial del Gobierno ruso, Rossiyskaya Gazeta, que lo señaló por elegir un “camino de violencia y permisividad” al no cooperar con las fuerzas de seguridad.

Los números. Según el regulador ruso (Roskomnadzor), Telegram ignoró más de 153.000 solicitudes de remoción de contenido ilegal, de las cuales unas 33.000 estarían vinculadas a sabotaje, terrorismo o extremismo.

El FSB afirmó haber recibido más de 700 denuncias por amenazas contra familiares de militares realizadas vía Telegram y dijo haber prevenido 475 atentados planificados en la plataforma, incluidos 61 contra escuelas.

Las acusaciones. El artículo sostiene que operativos de inteligencia ucranianos usan Telegram para comprar datos filtrados y reclutar o extorsionar ciudadanos rusos. También sugiere, sin aportar pruebas públicas, que Telegram habría compartido teléfonos e IP de ciudadanos rusos con gobiernos extranjeros, información que supuestamente se usó para atacar objetivos civiles.

El diario califica a Durov como un hombre “bajo influencia extranjera”.

Contexto. En 2024, Durov fue detenido en Francia tras reiteradas tensiones por la falta de respuesta de Telegram a pedidos judiciales. Meses después, la compañía endureció su política de moderación y comenzó a cooperar más activamente con autoridades europeas.

Espacio publicitario

CrowdStrike: el paso al movimiento lateral se redujo a 29 minutos

El 2026 Global Threat Report de CrowdStrike pone un número concreto a la aceleración de los ataques: el tiempo promedio de “breakout” —el lapso entre el acceso inicial y el movimiento lateral dentro de una red— cayó a 29 minutos en 2025. Es un 65% más rápido que en 2024.

El caso más extremo observado fue de apenas 27 segundos.

Por qué importa. Ese margen reduce al mínimo la capacidad de detección y respuesta. En menos de media hora, un intruso puede escalar privilegios, moverse entre sistemas y consolidar persistencia antes de que un equipo de seguridad reaccione.

Cómo lo logran. El informe describe 2025 como “el año del adversario evasivo”. Los atacantes combinaron credenciales válidas, integraciones SaaS aprobadas y flujos de identidad legítimos para mezclarse con actividad normal. El 82% de las detecciones fueron sin malware: las intrusiones avanzaron por caminos autorizados y relaciones de confianza.

IA. Los actores que incorporaron inteligencia artificial aumentaron en 89% su volumen de ataques respecto del año anterior. La IA se usó para optimizar campañas de ingeniería social y también como objetivo: más de 90 organizaciones sufrieron abusos de herramientas GenAI mediante inyección de prompts infectados para robar credenciales y criptomonedas.

El mapa. CrowdStrike identificó 24 nuevos adversarios en 2025 y ya monitorea más de 281 grupos. La tendencia central: ataques más rápidos, silenciosos y apoyados en accesos legítimos, que obligan a reducir los tiempos de detección a minutos, no horas.

Hackean aspiradoras robot y pueden manejarlas remotamente

Una falla de seguridad dejó expuestas más de 6.700 aspiradoras robot en todo el mundo, con acceso potencial a planos del hogar, cámaras, micrófonos y control remoto.

Qué pasó. El estratega en IA Sammy Adoufal intentó crear una app para manejar su propia aspiradora con un control de PlayStation. Para eso, revirtió el protocolo de comunicación del equipo con los servidores. Pero al obtener el token privado de su dispositivo, el sistema le dio acceso no solo al suyo sino a miles de equipos conectados en EE.UU., Europa y China.

Qué expuso. La vulnerabilidad permitía descargar planos precisos de las viviendas, acceder a transmisiones en vivo de cámara y micrófono y controlar remotamente los dispositivos afectados.

La clave técnica. Según Adoufal, no hubo hackeo ni bypass de seguridad: el problema no estaba en la encriptación sino en que los datos en los servidores estaban almacenados en texto plano. Con acceso al servidor, podían leerse fácilmente.

🔓 Breaches y hacks

• Un bug de PayPal expuso datos de usuarios durante seis meses

• Fallas en Claude Code exponen dispositivos de desarrolladores

• El Olympique Marseille confirma un intento de ciberataque y filtración de datos

🔒 Ransomware

• Publican al CONICET como víctima de The Gentlemen

• La aerolínea de bandera de Costa de Marfil sufre un ransomware

• Lazarus (Corea del Norte) ahora trabaja con Medusa Ransomware

💣 Exploits y malware

• Microsoft advierte en contra del uso de OpenClaw

• Nuevo RAT: Moonrise

• Cómo funciona Tycoon 2FA, el kit de phishing más detectado en la actualidad

🔍 Threat intel y vulnerabilidades

• Aparece un nuevo foro underground: LegionNull

• Encuentran un nuevo RAT basado en C++

• Reportes: Cisco, Barracuda, Red Canary, Check Point Research, Sophos, HP Security.

🛠️ Tools y updates

• Firefox lanza la versión 148 con actualizaciones de seguridad

• Anthropic lanza Claude Code Security, una herramienta que escanea vulnerabilidades de código

• AutoPiff, una herramienta para detectar parches del kernel de Windows

📋 Privacidad y regulaciones

• Wikipedia blacklistea a archive[.]today

• Multan a Reddit en Gran Bretaña por el uso de datos de menores

• Alemania también discute prohibir las redes sociales a menores

Share

Juan Brodersen