Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

22~29
may

⚡TL;DR

Ya dije que, por momentos, el newsletter se me está transformando en AI News. No es algo que me guste del todo, pero los problemas que está trayendo la aplicación masiva de inteligencia artificial, en mi opinión, ya son muy visibles como para ser ignorados.

Por esto, leí algunas noticias y tuits que me parecían interesantes para cruzarlos como lead de esta edición. Acá va.

Esta semana, algunas noticias pusieron sobre la mesa lo que ya está a la vista: echar trabajadores para reemplazarlos por IA es una ilusión que ya empieza a mostrar sus costuras.

Sam Altman, CEO y cofundador de OpenAI, dijo que ve a la IA “como una utilidad, como la electricidad o el agua”, que vamos a terminar pagando por consumo, pero que funciona para todas las empresas que hoy juegan el juego de la IA. Crucé un tuit que trazó una timeline de lo que sería la Historia de un error, a la Nietzsche. Lo reproduzco, traducido:

Déjenme reconstruir la línea de tiempo, porque nadie la está conectando.

Paso 1: scrapear todo internet. Cada libro, cada artículo, cada conversación, cada obra de arte, cada posteo en foros. Hacerlo sin pedir permiso. Hacerlo sin pagar.

Paso 2: entrenar un modelo con todo eso. Llamarlo “inteligencia artificial”.

Paso 3: ir al Infrastructure Summit de BlackRock y anunciar: “Vemos un futuro en el que la inteligencia sea un servicio básico, como la electricidad o el agua, y la gente nos la compre con medidor”.

El paso 3 es donde le venden a la gente su propio conocimiento. Con medidor.

Tomaron la producción colectiva del pensamiento humano, la comprimieron en un modelo y ahora quieren cobrarte por token para acceder a una versión de lo que vos y todos los que conocés ya crearon.

Un usuario de Reddit lo resumió perfecto: “Nos robaron todos estos datos a nosotros, la gente, el trabajo de nuestras vidas, nuestra creatividad, nuestro arte, devorando internet y pasando por encima de todas las leyes de copyright. Ahora quieren vendérnoslo de vuelta en forma de servicio básico”.

Imaginate que alguien fotocopia todos los libros de una biblioteca pública, quema la biblioteca y después abre un servicio de suscripción para acceder a las copias.

Ese es el modelo de negocio de la inteligencia medida por consumo.

Y se lo están vendiendo a inversores en infraestructura como si hubieran inventado el agua.

Es interesante porque pareciera que el capitalismo está mostrando otra de sus contradicciones internas y demuestra, una vez más, que trae consigo mismo el germen de su destrucción: hoy, las inversiones van hacia dos empresas que están pulverizando el copyright.

Hubo otra crítica, ya en el plano de los datos concretos: The Verge publicó una investigación sobre cómo Microsoft canceló la mayoría de sus licencias directas de Claude Code y redirigió empleados hacia GitHub Copilot CLI.

El tema fue recogido por Yahoo Finance y Fortune: echar gente y usar IA, ahora, es más caro que contratar.

¿Cómo se explica esto? En parte, así:

Los CEOs están empezando a darse cuenta, en silencio, de que el plan de reemplazar empleados con IA tiene un problema.

En realidad, dos.

Uno: los costos en tokens para operar agentes de IA ya están superando lo que pagaban por los empleados que echaron.

Dos: cuando se agotan los tokens, la IA se detiene. Se detiene y punto. Sin continuidad. Sin plan alternativo. Solo una ruedita girando donde antes estaba tu fuerza laboral.

Echaste humanos para ahorrar plata y compraste una suscripción que te factura hasta dejarte contra la pared.

Los empleados que dejaste ir sabían qué hacer cuando algo se rompía.

La IA simplemente te factura por la caída del servicio.

Y después está el problema de los permisos, del que nadie quiere hablar.

Para hacer su trabajo, el agente de IA necesita acceso. Acceso completo. A tus sistemas, tus patentes, tus contratos, tus planes futuros. Todo lo que pasaste años construyendo, entregado a un proceso que no tiene lealtad, discreción ni nada en juego.

No contrataste un reemplazo.

Le diste las llaves de todo lo que tenés a un extraño sin alma.

Que lo disfrutes.

Hay, para todo este tema, un tracker de despidos en tech, en un mundo donde hasta el Papa cuestionó la falta de regulación en el mundo de la IA. Y Microsoft ya advirtió que es más caro usar IA que contratar empleados.

Pasando a otros temas de la semana, precisamente, Microsoft protagonizó una polémica muy de nicho, pero que hizo ruido en el ambiente: se enfrentó a un researcher que publicó, en GitHub primero y en GitLab después, varios zero days.

En el mundo del malware, una nueva campaña del troyano bancario Grandoreiro volvió con fuerza en América Latina. A nivel técnico, encontré un research interesante que dice que los sitios web ahora pueden ver el tráfico web de un browser a través del SSD. Y la Copa del Mundo ya está generando una enorme cantidad de sitios falsos y fraude.

La perlita de la semana es para quienes usan DuckDuckGo: el buscador vio un crecimiento del 30% en sus descargas después de que Google llenara su motor de búsqueda con basura IA.

En esta edición:

• 💼 Más de 142 mil despidos en tech, mientras datos de Microsoft sugieren que usar IA es más caro que contratar

• 👾 Microsoft enfrenta a un investigador por la publicación de zero-days

• 🏦 Grandoreiro sigue muy activo en América Latina

• 🧊 FROST, la técnica que usa el SSD para espiar actividad desde el navegador

• ⚽ Advierten sobre sitios falsos del Mundial FIFA 2026

⏰ Substack dice que leer este correo completo lleva 15 minutos

Dark News #205

Espacio publicitario

CYBER SUMMIT es el punto de encuentro líder en América Latina para profesionales, empresas, gobiernos y organizaciones tecnológicas que están transformando el futuro de la seguridad tecnológica. Nuestra misión es unir a las comunidades globales para construir un mundo digital y operacional más seguro. Inscripción, en este enlace.

Más de 142 mil despidos en tech, mientras datos de Microsoft sugieren que usar IA es más caro que contratar

Los despidos en el sector tech ya superan los 142.000 en 2026, mientras crece una tensión en la industria: la IA promete ahorrar costos, pero usarla a escala también empieza a volverse caro.

Qué pasó. Según Yahoo Finance, marzo fue el mes más duro y varias empresas vincularon los recortes con inversión en IA, automatización o nuevos perfiles técnicos.

La lista. Meta recortó cerca de 8.000 puestos y cerró 6.000 vacantes para liberar margen hacia inversión en IA. Intuit eliminó 3.000 empleos, el 17% de su plantilla, con el foco puesto en integrar IA en sus servicios. Cloudflare despidió a más de 1.100 empleados en una reestructuración pensada para la “era de la IA agéntica”. PayPal, en tanto, proyecta recortar unos 4.800 puestos en los próximos años para eliminar capas internas y acelerar automatización. La lista sigue.

Cisco, LinkedIn, Coinbase, Snap, Atlassian, Amazon, Oracle y Microsoft también avanzaron con recortes, reorganizaciones o retiros voluntarios, en un sector que sigue achicando equipos mientras redirige capital hacia infraestructura, productos y operaciones basadas en IA.

Por qué importa. La narrativa dominante de Silicon Valley presenta a la IA como una herramienta para hacer más con menos. La lista muestra otra dinámica: empresas que recortan empleo para financiar IA, reorganizar estructuras y concentrar recursos en áreas estratégicas.

El contraste. Microsoft acaba de recortar la mayoría de sus licencias directas de Claude Code, apenas meses después de impulsar su uso interno. Según Fortune, citando a The Verge, la empresa empezó a redirigir a sus empleados hacia GitHub Copilot CLI. El uso masivo de herramientas de IA dentro de una compañía también puede volverse difícil de justificar por costo.

La pregunta es cuánto cuesta sostener la IA cuando deja de ser prueba piloto y empieza a usarse todos los días, por miles de empleados, en tareas intensivas.

Qué mirar. Si la factura de cómputo sigue creciendo, las empresas pueden avanzar hacia accesos más limitados, aprobaciones por área, topes de uso y despliegues más selectivos.

El costo real de usar IA a escala empieza a entrar en el cálculo laboral y, ahora, se está planteando que los números no cierran.

Microsoft enfrenta a un investigador por la publicación de zero-days

Microsoft salió a criticar las divulgaciones públicas de vulnerabilidades zero-day sin coordinación previa, después de que varias fallas en Windows fueran publicadas por un investigador y algunas empezaran a ser explotadas.

Qué pasó. La compañía defendió el modelo de Coordinated Vulnerability Disclosure, o CVD: que los investigadores reporten primero las fallas al proveedor afectado, le den tiempo para analizarlas y recién después las hagan públicas.

El caso. La discusión se aceleró por las publicaciones de Chaotic Eclipse, también conocido como Nightmare-Eclipse, que divulgó detalles de varias vulnerabilidades zero-day en componentes de Windows, incluidos Defender y BitLocker. Según Microsoft, esos detalles no fueron compartidos antes con la empresa.

Por qué importa. Microsoft sostiene que publicar pruebas de concepto o detalles técnicos de fallas sin parche puede poner a usuarios y empresas en riesgo inmediato.

Tres de las vulnerabilidades divulgadas, BlueHammer, RedSun y UnDefend, ya habrían sido explotadas activamente después de hacerse públicas.

El conflicto. El investigador afirma que intentó comunicarse con Microsoft, pero que el proceso de reporte falló. También denunció que la empresa eliminó la cuenta de Microsoft que usaba para reportar bugs y que luego GitHub bajó su cuenta.

El código de explotación fue subido después a GitLab, pero esa cuenta también terminó bloqueada.

Varias cuentas de investigadores de seguridad se hicieron eco del caso:

vx-underground@vxunderground

Chat, I don't want to be that guy, but I think Microsoft has really pissed off security researchers and we're approaching the tipping point. This Eclipse guy has really rocked the boat for Microsoft.

4:31 PM · May 28, 2026 · 57.9K Views

---

72 Replies · 238 Reposts · 2.04K Likes

Grandoreiro sigue activo en América Latina

Grandoreiro sigue activo y volvió a apuntar contra bancos y empresas de Europa y América Latina con campañas de phishing, abuso de servicios legítimos y técnicas para esconderse dentro del tráfico normal.

Qué pasó. WatchGuard detectó una campaña de Grandoreiro contra bancos de Portugal que usa DLL side-loading, una técnica que aprovecha software legítimo para cargar archivos maliciosos. El malware también aparece en otra campaña distribuida por correos de phishing con archivos ZIP alojados en MediaFire y un falso aviso para actualizar Adobe Reader.

Por qué importa. Grandoreiro está activo desde 2016 y ya fue vinculado al robo de credenciales financieras en miles de instituciones de 45 países y territorios. Aunque Brasil intentó desmantelar parte de su infraestructura en 2024, el malware siguió evolucionando, amplió su alcance e incorporó controles como CAPTCHA y chequeos anti análisis.

El alcance. Los archivos analizados hacen referencia a bancos e instituciones financieras de Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral de Depósitos y Santander. También aparecen Revolut y Wise.

FROST, la técnica que usa el SSD para espiar actividad desde el navegador

Un grupo de investigadores mostró una técnica que permite a un sitio web inferir qué otras páginas y apps tiene abiertas un usuario midiendo la actividad de su SSD desde el navegador. La técnica se llama FROST y, según Ars Technica, todavía no hay indicios de uso real en ataques.

Qué pasó. FROST usa JavaScript y el sistema OPFS del navegador para medir pequeñas variaciones de latencia en operaciones de lectura del disco. Esas señales pueden revelar actividad en otras pestañas, incluso en otros navegadores, y apps abiertas en el equipo.

Por qué importa. El ataque no necesita permisos especiales ni interacción del usuario más allá de abrir el sitio malicioso. Funciona como un canal lateral: aprovecha señales indirectas del hardware para deducir información que el navegador debería aislar.

El límite. El método requiere crear un archivo OPFS muy grande, probablemente de más de 1 GB, lo que vuelve más difícil un ataque masivo y más probable que el usuario lo note. Los investigadores probaron el ataque completo en una Mac M2. En Linux validaron la base técnica, pero no el ataque completo. Windows no fue testeado.

Qué hacer. Cerrar pestañas innecesarias reduce superficie de exposición. Para los navegadores, una mitigación posible sería limitar el tamaño máximo de los archivos OPFS que puede crear un sitio.

Advierten sobre sitios falsos del Mundial FIFA 2026

El FBI alertó por una ola de sitios falsos que se hacen pasar por FIFA para robar datos, vender entradas truchas y explotar el interés por el Mundial 2026.

Qué pasó. La advertencia apunta a dominios que imitan a fifa.com con cambios mínimos en la escritura, o con terminaciones alternativas como .org, .xyz, .live o .sale. También aparecen falsos portales laborales.

Por qué importa. El Mundial se jugará del 11 de junio al 19 de julio de 2026 en Estados Unidos, Canadá y México. Según el FBI, los atacantes ya prepararon cientos de sitios de phishing para robar nombres, direcciones, emails, teléfonos y datos bancarios o de pago.

La escala. Group-IB y Bitdefender también detectaron campañas vinculadas al Mundial en Google Search, Facebook Ads, Telegram y WhatsApp. Group-IB atribuyó a un actor chino, al que rastrea como Ghost Stadium, una operación con más de 300 sitios clonados del portal de FIFA para fraudes con entradas premium.

Qué hacer. El FBI recomienda tipear fifa.com manualmente, evitar anuncios patrocinados, verificar que la URL termine en .com, usar marcadores para los sitios oficiales y no ingresar datos sensibles hasta confirmar que el sitio sea auténtico.

🔓 Breaches y hacks

• Vietnam investiga un data breach

• Advierten que 19.600 millones de archivos están expuestos en internet sin passwords

• Arrestan al atacante que hackeó al Ajax en Países Bajos

🔒 Ransomware

• ShinyHunters extorsiona a una empresa de cruceros

• Advierten que el ransomware cada vez tiene menos cifrado y más robo de datos sin encriptar

• Anuncian como víctima a una organización de salud argentina: Sanatorio Delta

💣 Exploits y malware

• Anthropic dice que encontró más de 10 mil vulnerabilidades altas o críticas en un mes

• Explotan una falla en FortiClient Enterprise Management Server (EMS) para instalar infostealers

• Un zero day en Gogs (servicio Git self-hosted) permite tener ejecución remota

🔍 Threat intel y vulnerabilidades

• Reportes: Check Point, HP Wolf Security, Unit 42 (Palo Alto), Cisco Talos, Kaspersky, Red Canary, Tenable, VulnCheck

• Dan de baja la botnet Glassworm y otra de 17 millones de dispositivos

• Un minero de GPUs infecta equipos a partir de SEO poisoning

🛠️ Tools y updates

• GitHub lanza una actualización por paquetes npm maliciosos

• YouTube va a etiquetar el contenido generado por IA

• Una plataforma nueva intenta arreglar errores de agentes de IA antes de que vayan a producción

📋 Privacidad y regulaciones

• Malasia se suma a la prohibición de redes sociales para menores de 16

• Acusan a un empleado de Google por usar información interna en Polymarket

• Irán vuelve a tener internet tras casi 90 días de apagón

Share