Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

29 may~
5 jun

⚡TL;DR

Si existió una web primigenia, otra 2.0 (redes sociales) y una (fallida) 3.0 que le quiso poner blockchain a todo, parecería que estamos ante una nueva fase. Bienvenidos a la era de una web fake que intenta parecer legítima.

Una investigación de 404media de esta semana reveló cómo distintas empresas vinculadas al negocio de las terapias hormonales y el biohacking están manipulando Reddit, una de las plataformas de comunidad más conocidas del mundo, con posteos que pretenden ser orgánicos pero que apuntan a ser scrapeados por un bot, deglutidos por una IA y regurgitados en el output de la consulta de un usuario.

El caso puntual encaja en una tendencia palpable en casi cualquier red social de la actualidad, donde todo parece artificial. Lo único que importa es influir en los datos que scrapean los LLM.

En una semana todavía dominada por el drama entre Microsoft y un researcher que publicó zero days (defendido por sus pares), todo hace pensar que ya estamos ante una época donde el contenido se escribe, edita y produce para los bots.

La web ya no es para nosotros, los humanos (aunque un bot esté scrapeando esto y el “nosotros” sea relativo).

En el mundo de las vulnerabilidades, un abuso del chatbot de soporte de Instagram permitió que un grupo de hackers “simplemente le pidiera a Meta AI que les dieran acceso a cuentas de alto perfil. Y funcionó”. El tema tuvo mucha repercusión por los riesgos de los chatbots de soporte técnico, aunque el soporte humano también es un vector de ataque frecuente (vishing, smishing).

Saliendo de la IA, el robo cripto de la semana lo protagonizó el portal Gravity Bridge, con USD 5,4 millones. Y el otro drama de la comunidad lo protagonizó el bug bounty, que cargó contra HackerOne por reutilizar técnicas de reportes para buscar vulnerabilidades. Hay bronca entre hunters.

En el mundo de las regulaciones, Valve, quizás la empresa más querida por la comunidad gamer, enfrenta una demanda antimonopolio por controlar los precios de Steam (¿de dónde pensábamos que salían esos descuentos del 85%?).

Y la perlita de la semana es para este (odioso) pasajero que le puso a su dispositivo Bluetooth la única palabra de cuatro letras en inglés que te puede meter en un problema en serio en el mundo de la aeronáutica: el avión tuvo que volver al aeropuerto para identificarlo.

Por último, encontré que están usando IA para descifrar manuscritos medievales. Apenas el 1% del material manuscrito en grafías desconocidas disponible en bibliotecas está descifrado. Por ejemplo, el manuscrito de Borg, en el Vaticano, estuvo 400 años sin poder leerse. En menos de media hora, la IA logró traducir con precisión 500 símbolos del Borg cipher.

No todo está perdido, o al menos hay algunas noticias de las cuales agarrarse para no perder la esperanza.

En esta edición:

• 🤖 Empresas contaminan Reddit para manipular resultados de Google y respuestas de ChatGPT

• 📸 Roban cuentas de Instagram a través del bot de soporte

• 🎮 Valve enfrenta una demanda antimonopolio

• 🧠 Microsoft quiere que sus usuarios sean “adictos” a la IA

• 🏛️ Estados Unidos: Donald Trump ahora quiere regular a los LLM

⏰ Substack dice que leer este correo completo lleva 15 minutos

Dark News #206

Espacio publicitario

CYBER SUMMIT es el punto de encuentro líder en América Latina para profesionales, empresas, gobiernos y organizaciones tecnológicas que están transformando el futuro de la seguridad tecnológica. Enterate todo lo que pasó en el evento, haciendo clic acá o en el banner.

Empresas contaminan Reddit para manipular resultados de Google y respuestas de ChatGPT

Empresas del negocio de los péptidos, las terapias hormonales y el biohacking están usando Reddit para intentar manipular las respuestas de ChatGPT y los AI Overviews de Google, según reveló 404 Media.

El caso se enmarca en una tendencia más grande: marcas, agencias y actores maliciosos están empezando a intervenir las fuentes que leen los sistemas de IA.

Qué pasó. Moderadores del subreddit r/biohackers dijeron que limitarán las publicaciones sobre péptidos y terapia de reemplazo hormonal porque detectaron spam encubierto de compañías del sector. La sospecha es que esas empresas buscan instalar menciones, recomendaciones y narrativas en Reddit para que luego sean levantadas por buscadores con IA y chatbots.

Por qué importa. Reddit se volvió una fuente muy citada por sistemas de IA generativa. Eso abrió una nueva forma de manipulación: intervenir el material que los modelos leen o resumen, para influir en las respuestas que después reciben los usuarios.

Contexto. En los últimos meses, Google actualizó sus políticas de spam para incluir intentos de manipular respuestas generadas por IA, Microsoft reportó campañas de “AI Recommendation Poisoning” con instrucciones ocultas en botones de “Summarize with AI” y distintos reportes mostraron listados, sitios y contenido armado para que chatbots y buscadores con IA recomienden una marca, un producto o incluso información falsa.

El método. Según el reporte de 404 Media, algunas agencias usan bots o cuentas falsas para insertar menciones de marcas en hilos que parecen orgánicos. La estrategia apunta a crear contenido optimizado para AEO, sigla de Answer Engine Optimization: el equivalente del SEO, pero pensado para aparecer en respuestas generadas por IA.

El caso. En r/biohackers, el problema tomó una dimensión más sensible porque el subreddit trata temas de suplementos, farmacología experimental, longevidad, péptidos y terapias hormonales. Uno de los moderadores dijo a 404 Media que el riesgo es que una empresa poco confiable puede promocionar un producto y alguien puede terminar usándolo y lastimándose.

La respuesta. Reddit dijo a 404 Media que sus equipos de seguridad usan revisión humana y herramientas automatizadas para detectar y remover este tipo de contenido, y que también ofrece herramientas a moderadores para identificar spammers.

Los moderadores señalan que las campañas se volvieron más sofisticadas y difíciles de separar de discusiones reales.

Roban cuentas de Instagram a través del bot de soporte

Instagram corrigió una falla en su chatbot de soporte técnico que permitió secuestrar cuentas sin acceder al mail real de las víctimas. El caso expone un riesgo cada vez más relevante: cuando un chatbot puede intervenir en recuperación de cuentas, también pasa a formar parte de la superficie de ataque.

Qué pasó. Según TechCrunch, atacantes lograron engañar al chatbot de soporte de Meta para agregar una dirección de correo propia durante el proceso de recuperación de contraseña de Instagram. Con ese mail, recibían un código de verificación, lo devolvían al asistente y conseguían resetear la clave de la cuenta.

El método. De acuerdo con videos difundidos en Telegram y X, el ataque no requería malware, credenciales robadas ni una vulnerabilidad técnica sofisticada. Los atacantes iniciaban el proceso de recuperación, usaban una VPN para parecer ubicados cerca del lugar habitual de la víctima y luego abrían un chat con el asistente de soporte de Meta.

A quiénes afectó. La falla impactó a varios usuarios antes de ser corregida. Entre las cuentas comprometidas estuvieron la cuenta inactiva de Instagram de la Casa Blanca de Obama y la del Chief Master Sergeant John Bentivegna, de la Fuerza Espacial de Estados Unidos. Según Brian Krebs, ambas fueron brevemente modificadas con contenido proiraní.

Las fuentes. TechCrunch informó que Instagram resolvió el problema y verificó que el código de recuperación llegó efectivamente al buzón público mostrado por el atacante en el video. KrebsOnSecurity reportó que las instrucciones para explotar la falla empezaron a circular ampliamente en canales de Telegram el 31 de mayo. La investigación también menciona reportes previos en Reddit, X, Telegram y círculos de seguridad, además de alertas de la researcher Jane Wong y otros usuarios.

Qué dijo Meta. El vocero Andy Stone confirmó el lunes que la vulnerabilidad fue corregida y que las cuentas afectadas estaban siendo aseguradas. La compañía no informó cuántos usuarios fueron impactados.

Check Point Research publicó un buen write-up.

Valve enfrenta una demanda antimonopolio

Una demanda antimonopolio acusó a Valve por “usar su posición dominante” para impedir que los desarrolladores ofrezcan precios más baratos en otras tiendas digitales por fuera de Steam.

Qué pasó. Según documentos judiciales citados por Bloomberg, Valve habría presionado a estudios y publishers para mantener paridad de precios entre Steam y otras plataformas. La acusación aparece en una demanda impulsada por desarrolladores independientes, que sostienen que la compañía limita la competencia en el mercado de videojuegos para PC.

El caso Ubisoft. Uno de los ejemplos mencionados involucra a Rainbow Six Siege. Ubisoft ofrecía en Uplay un Starter Pack de 15 dólares que no estaba disponible en Steam, donde la opción más barata era más cara. Según la demanda, Valve habría amenazado con retirar todas las ediciones del juego de Steam si Ubisoft no corregía la diferencia “hasta el final del día siguiente”.

Por qué importa. Steam es la tienda dominante de juegos para PC y cobra una comisión que históricamente llegó al 30%. Si Valve impide que los juegos sean más baratos en otras plataformas, los desarrolladores pierden margen para competir por precio y los usuarios terminan con menos opciones reales fuera de Steam.

Valve ya había enfrentado acusaciones similares por presunto abuso de posición dominante.

Microsoft quiere que sus usuarios sean “adictos” a la IA

Microsoft anunció Scout, un asistente personal de IA integrado a Microsoft 365. Según documentos internos, una de las primeras metas del proyecto era “hacer adictos” a los usuarios.

Qué pasó. Scout es la versión pública de ClawPilot, una herramienta que Microsoft venía probando internamente desde marzo con más de 1.000 empleados, incluido Satya Nadella. El producto forma parte de Project Lobster, una iniciativa para llevar agentes basados en OpenClaw a usuarios sin perfil técnico.

El plan. El documento interno describe “tres fases desde una app adictiva hasta una plataforma agéntica”. La primera fase aparece formulada como Make people addicted. El objetivo era mantener una experiencia separada, hacer crecer la base de usuarios y construir un ecosistema de habilidades y herramientas que llevara a la dependencia diaria.

Por qué importa. Scout está pensado como un agente “always-on” que se sienta al lado del usuario, aprende cómo trabaja y actúa en su nombre. Puede gestionar calendario, filtrar la bandeja de entrada, preparar reuniones, presentar gastos y ejecutar workflows recurrentes.

Según otro documento interno, “toma acciones en un escritorio real” y sigue trabajando aunque el usuario no lo esté mirando.

Entre líneas. Lo más polémico va más allá de la palabra “adicción” y tiene que ver con que este tipo de agentes necesita acceso a cuentas, archivos, correo, calendario y flujos de trabajo para operar.

El propio documento marca que seguridad y compliance siguen siendo temas a resolver.

El contexto. Microsoft viene empujando IA en casi todos sus productos, con resultados negativos. Copilot fue uno de sus grandes avances en el sector, pero la integración de herramientas de IA en Windows también generó rechazo de usuarios.

Estados Unidos: Donald Trump ahora quiere regular a los LLM

Trump firmó una orden ejecutiva para que las compañías de IA compartan nuevos modelos con el Gobierno antes de lanzarlos al público. Es el giro más claro de la Casa Blanca hacia una supervisión formal de la tecnología.

Qué pasó. La orden crea un sistema voluntario para que los laboratorios de IA den al Gobierno hasta 30 días de acceso previo a sus modelos.

El cambio. La versión anterior contemplaba una revisión de hasta 90 días, pero Trump la frenó tras objeciones de David Sacks, ex PayPal, de IA de la administración. El texto avanzó después de que el plazo se redujera a 30 días.

Por qué importa. La medida marca un cambio respecto del enfoque más desregulado que Trump había tomado para impulsar a las empresas estadounidenses frente a China. La Casa Blanca intenta mantener ese apoyo a la industria, pero con más control sobre modelos capaces de encontrar fallas de seguridad sensibles.

La reacción. Ejecutivos de Microsoft, OpenAI, Google y otras compañías apoyaron la orden como un intento de equilibrar innovación y seguridad. En paralelo, parte del sector teme que el esquema derive en controles más estrictos o demore el desarrollo.

Entre líneas. El newsletter del NYT DealBook explicó el cambio como resultado de una mezcla de presión política, preocupación pública y avances técnicos. El detonante fue Mythos, un modelo de Anthropic capaz de detectar debilidades en sistemas de bancos, gobiernos y otras organizaciones. A eso se sumó una investigación de la Universidad de Toronto sobre un sistema creado con IA para explotar fallas conocidas.

Incluso una Casa Blanca cercana a Silicon Valley empezó a ver que los modelos más potentes necesitan algún nivel de supervisión estatal.

🔓 Breaches y hacks

• Roban miles de sitios con ClickFix y FakeUpdates

• Comprometen paquetes npm de Red Hat para robar credenciales

• Dashlane sufre un ataque de fuerza bruta que afecta la privacidad de las contraseñas

🔒 Ransomware

• The Gentlemen lleva la delantera en víctimas

• Los afiliados de ransomware operan durante las horas de oficina

• Reporte: por qué la extorsión sin cifrado reemplaza al ransomware tradicional

💣 Exploits y malware

• Un nuevo malware usa los comentarios de Steam como C2

• Falsas alertas de virus invaden juegos móviles

• Explotan vulnerabilidades de WP Maps Pro

🔍 Threat intel y vulnerabilidades

• Arrestan a 29 operadores de sitios de streaming ilegales

• Un nuevo DoS “HTTP/2 Bomb” da de baja servidores en menos de un minuto

• Lazarus abusa de paquetes npm para apuntar a desarrolladores

🛠️ Tools y updates

• Android parchea un zero day y 123 vulnerabilidades

• Anthropic suma 150 empresas a su Project Glasswing

• Parchean un bug crítico de Unified CM de Cisco

📋 Privacidad y regulaciones

• 23andMe, la empresa de testeos genéticos, demandada por el breach de 2023

• Demanda contra OpenAI en Florida por “poner a los niños en riesgo”

• Un reporte muestra que la moderación en redes sociales es poco eficiente

Share