Los peligros del ciberpatrullaje con IA: cómo es el sistema que estrena Argentina
El alcance de la nueva UIAAS, Crowdstrike y Microsoft se preparan para enfrentar demandas, Azure sufrió un DDoS y Google aplica un cambio de seguridad importante con las cookies.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
26 jul>
2 ago
⚡ TL;DR
El 27 de mayo de 2024 el Gobierno argentino había habilitado de manera oficial el ciberpatrullaje con la ministra de Seguridad, Patricia Bullrich, a la cabeza. Además de tratar el tema en esta publicación, quedé atento a próximos anuncios. Muy pronto -lunes pasado- se dio a conocer la creación de una “unidad de IA” para llevar adelante este proyecto de vigilancia: la Unidad de Inteligencia Artificial Aplicada a la Seguridad (UIAAS).
Para entender mejor este tema, hablé con un especialista en privacidad y derechos digitales para ver qué alcance tiene esta medida, pero sobre todo qué peligros plantea para la población y sus prácticas online.
A nivel local, además, se presentó una denuncia formal contra Meta ante la Agencia de Acceso a la Información Pública (AAIP) en Argentina. Es por el uso de datos privados de WhatsApp y otras redes para entrenar su IA. En Estados Unidos, la empresa acordó pagar 1.4 mil millones de dólares por una demanda de 2022 (Texas), por capturar rostros para reconocimiento facial sin autorización, en una muestra más de que la política de manejo de datos de la empresa genera problemas en diversas jurisdicciones del mundo.
En el mundo del ransomware y los ataques por estas latitudes, la Intendencia de Paysandú, en Uruguay fue afectada por un ataque que la llevó a un problema para pagar sueldos. Acá un buen hilo del tema.
Una de las noticias que más circularon en este terreno fue el reporte de Ransomware 2024 de Zscaler, que asegura que se pagaron 75 millones de dólares al grupo Dark Angels (sin identificar a la víctima). Esto es casi el doble del registro público de un pago más alto hasta el momento.
E IBM aseguró que los data breach costaron el último año 4.88 mil millones de dólares en su Cost of a Data Breach Report 2024. Estas cifras son muy problemáticas, en tanto quienes están en infosec advierten que, en rigor, es imposible hacer estos cálculos. Pero como a los periodistas nos gustan los datos duros, si siguen noticias en este campo es muy probable que hayan visto el tema en varios medios especializados.
Un tema que seguro dará que hablar es el intercambio de 24 prisioneros entre Rusia y Estados Unidos, entre quienes se encuentra el periodista del Wall Street Journal Evan Gershkovich. Entre los rusos liberados hay varios ciberdelincuentes, entre ellos, Roman Seleznev, condenado en 2017 a 27 años de prisión por delitos relacionados a robos de tarjetas de crédito.
A nivel regional, Venezuela atravesó un proceso de elecciones altamente conflictivo con denuncias de fraude y, otra vez, el voto electrónico en el centro de la escena. Chequeado publicó una buena nota que explica punto por punto la elección y le dedica un tramo al voto electrónico, un tópico que fue muy polémico en Argentina.
Por el lado más técnico, se publicaron IOCs nuevos de RansomHub y lograron acceder a información interna de Medusa, el grupo que en Argentina atacó el año pasado a la Comisión Nacional de Valores.
Por último, el World Wide Web Consortium (W3C) llamó a los navegadores a dejar de lado las cookies de terceros, luego de que la semana pasada Google anunciara que iba a posponer su plan de bloquearlas. Al menos más abajo cuento una buena noticia en torno al tratamiento de las cookies en Chrome, en la difícil lucha contra los infostealers.
Dark News #93
Leer este correo te va a llevar 14 minutos.
⛺ Dark News viaja al Hacker Summer Camp en Las Vegas: Black Hat USA 2024 y DEF CON 32
Con el apoyo económico de los sponsors que ven en estas entregas, decidí volver, como el año pasado, a las dos conferencias de hackers más grandes del mundo, con particular foco en exposiciones de argentinos.
Separé algunas investigaciones que me parecieron interesantes, voy a asistir a las keynotes de ambos eventos y seguramente me pierda yendo de un casino a otro.
Si sos un researcher de América Latina o conocés alguien que presente un trabajo, podés responderme a este correo para sumarlo a la cobertura. Espero volver con material para producir entrevistas, que irán siendo publicadas en entregas posteriores.
Por este motivo, Dark News saldrá de miércoles a sábado de la semana que viene y entrará en un receso la semana siguiente. La publicación vuelve a su calendario habitual el viernes 24 de agosto.
Con años de experiencia en diagnóstico y solución de problemas IT, Buanzo Consulting trabaja en la detección temprana de vulnerabilidades y fallos en redes. Con experiencia en el mundo del código abierto y la innovación, ofrece consultoría orientada a soluciones precisas y personalizadas, asegurando que los proyectos no sólo sobrevivan, sino que prosperen.
👮♂️ Bullrich estrena su ciberpatrullaje con IA
El Gobierno argentino anunció en el Boletín Oficial el lunes de esta semana la creación de la Unidad de Inteligencia Artificial Aplicada a la Seguridad (UIAAS), que operará dentro de la Dirección de Ciberdelito y Asuntos Cibernéticos. Entre sus funciones, la principal será la de "patrullar la redes sociales abiertas", algo que ya había sido anticipado con la habilitación del ciberpatrullaje en sitios web “de acceso público y fuentes digitales abiertas”.
Se trata de un área en la que la ministra de Seguridad, Patricia Bullrich, tiene una experiencia que viene desplegando desde la gestión de Mauricio Macri (2015-2019).
Entre las funciones de esta unidad que usará inteligencia artificial (a esta altura ya vale preguntarse qué no se vende con IA en la actualidad), asegura la resolución publicada: “Se patrullará redes sociales abiertas, aplicaciones, sitios web y la dark web para identificar delitos y a sus autores, o situaciones que sean de riesgo para la seguridad pública, […] se analizarán actividades en redes sociales para detectar potenciales amenazas, identificar movimientos de grupos delictivos y prever disturbios”.
Además, se ocupará de seguir de cerca “transacciones sospechosas”, usará “robots para inutilizar o detonar artefactos sospechosos” (me hizo acordar a esta noticia), trabajará con reconocimiento de imágenes, intentará identificar “malware y phishing”, procesará “grandes volúmenes de datos” y vigilará con drones “áreas extensas para proporcionar vigilancia”.
Dark News se contactó con Luis García Balcarce, abogado especialista en derechos digitales, y le consultó sobre qué rol tendrá esta nueva unidad:
No sé si habrá cambios reales o concretos. Una de las funciones de la UIAAS es identificar patrones inusuales en las redes informáticas y detectar amenazas cibernéticas antes de que se produzcan ataques (malware, phishing y otras formas de ciberataque), y no creo que haya medidas o una merma en este tipo de ataques, sobre todo cuando hasta el momento no han trascendido acciones concretas luego de ciberataques a bases públicas o privadas.
Algo que no queda claro es si habrá licitaciones para algún tipo particular de IA:
Con respecto a las licitaciones y tipo de IA que se utilizará, en principio no parece que se vayan a usar tecnologías que no se estén usando ya, dado que en sus considerando la Resolución establece que "la presente medida no implica erogación presupuestaria alguna". Por lo que no habría inversión para adquirir e implementar algún tipo de IA nueva o distinta, no esperaría un salto tecnológico.
El especialista advirtió que “más allá de su aplicación real, sí es preocupante el espíritu de la norma ya que a través de una resolución se establecen pautas que en caso de implementarse pueden atentar contra el principio de inocencia, la privacidad y libertad de expresión. Incluso “no se tienen en cuenta ciertas recomendaciones internacionales sobre el uso de la IA en aspectos bastante delicados”. Ejemplificó:
Un ejemplo de esto último es la aplicación de la IA en la predicción de crímenes, aspecto abordado por la resolución. El Reglamento sobre IA de la Unión Europea justamente establece que en consonancia con la presunción de inocencia las personas siempre deben ser juzgadas por su comportamiento real, y nunca a partir de comportamientos predichos por una IA basados únicamente en la elaboración de sus perfiles, en los rasgos o características de su personalidad, como la nacionalidad, el lugar de nacimiento, el lugar de residencia, entre otros, sin una valoración humana y sin que exista una sospecha razonable basada en hechos objetivos comprobables.
Otro interrogante que se desprende del anuncio es quién auditará el sistema y, sobre todo, qué garantías se darán a partir de los perfiles creados por esta unidad.
La Resolución no considera ni hace referencia a evaluaciones de impacto continúas, auditorías, o intervención humana significativa de la IA que se utilice, cuestiones muy importantes en la implementación de este tipo de tecnologías sobre todo en temas penales. En ninguna parte de la Resolución se contemplan riesgos o garantías para las personas, sobre todo si se tiene en cuenta que el objeto es aplicar la IA para cuestiones donde se pone en juego su libertad. No se establece ningún tipo de marco de legalidad, que, en una Resolución sobre "patrullar redes sociales", "crear perfiles sospechosos" y "analizar actividades en redes sociales", resulta fundamental. No hay mención a la privacidad, principio de inocencia, libertad de expresión, ni debido proceso. Ni siquiera hay mención algún tipo de autoridad judicial o de control que sirva de garante ante situaciones que claramente pueden ser un riesgo para los derechos fundamentales.
Los antecedentes de la Ciudad de Buenos Aires respecto del reconocimiento facial, que está en el texto de esta semana, también preocupan. Cerró García Balcarce:
Otro tema al que se hace referencia es la utilización de reconocimiento facial, que ya ha tenido errores terribles -el caso de Guillermo Ibarrola-, y también abusos por parte de las autoridades -el caso del Ministerio de Justicia y Seguridad de CABA-. A todo esto se suma que a nivel nacional no contamos con una ley marco que regule la IA, y justamente la semana que viene, el martes 6, se reúne la Comisión de Ciencia, Tecnología e Innovación Productiva de la Cámara de Diputados en sesión informativa para escuchar la opinión de expertos sobre los proyectos legislativos de Inteligencia Artificial vigentes.
La UIAAS es, así, un gran interrogante que habrá que seguir de cerca durante la gestión de Javier Milei.
🛬 Empiezan las demandas contra Crowdstrike
Durante esta semana se fueron conociendo novedades en el frente legal del apagón online que causó Crowdstrike al enviar un update defectuoso que crasheó 8 millones de sistemas Windows el viernes 18 de julio.
Crowdstrike fue demandada por accionistas que aseguran que la empresa de ciberseguridad los defraudó al “ocultar cómo sus inadecuadas pruebas de software” podían causar el incidente.
En una acción colectiva presentada el martes ante un tribunal federal de Austin (Texas), los accionistas afirman que se enteraron de que las garantías ofrecidas por CrowdStrike sobre su tecnología eran “materialmente falsas y engañosas” cuando una actualización de software defectuosa interrumpió el funcionamiento de aerolíneas, bancos, hospitales y líneas de emergencia en todo el mundo.
La denuncia cita declaraciones incluidas de una conferencia del 5 de marzo donde el CEO de Crowdstrike, George Kurtz, quien caracteriza el software de CrowdStrike como "validado, probado y certificado”.
Además, algunas empresas afectadas ya parecen estar preparando demandas judiciales. Delta Airlines asegura que toda la situación le costó cerca de 500 millones de dólares y esta semana se supo que la empresa contrató a un reconocido abogado (David Boies) para reclamar por daños y perjuicios contra Microsoft y Crowdstrike.
La acción de CrowdStrike cayó más de un 30% y la empresa perdió casi una cuarta parte de su valor en dos días. Se calcula que las interrupciones del servicio le costaron a Delta entre 350 y 500 millones de dólares, en tanto la aerolínea está tramitando más de 176 mil solicitudes de reembolso tras la cancelación de casi 7 mil vuelos.
Parametrix había estimado que varias compañías Fortune 500 perdieron 5.4 mil millones de dólares por el incidente, sin incluir a Microsoft.
Ookla, la empresa detrás de Downdetector publicó un reporte en el que aseguró esta semana que hubo cerca de 5 millones de usuarios que registraron errores de conectividad durante el incidente.
🪟 Microsoft Azure sufrió un ataque de DDoS
Microsoft confirmó la razón por la cual el martes de la semana pasada Microsoft 365 y Azure estuvieron caídos: un ataque de denegación de servicio (DDoS).
La compañía confirmó el DDoS, aunque aún no lo vinculó a un actor de amenazas específico. "Aunque el evento desencadenante inicial fue un ataque distribuido de denegación de servicio (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el impacto del ataque en lugar de mitigarlo", aseguraron.
Según Microsoft, un incidente de nueve horas impactó en Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview, incluyendo Intune, Power BI y Power Platform. El incidente también se extendió a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y el portal de Azure.
A principios de este mes, decenas de miles de clientes de Microsoft 365 se vieron afectados por otra interrupción generalizada causada por lo que Microsoft describió como un cambio de configuración de Azure.
En junio de 2023, Microsoft tuvo un incidente en el que confirmó que un actor de amenazas conocido como Anonymous Sudan (también conocido como Storm-1359) había derribado sus portales web de Azure, Outlook y OneDrive en ataques DDoS de Capa 7.
🍪 Google hace un cambio sustancial con el manejo de cookies para mitigar infostealers
Google anunció cambios en su política de seguridad con cookies, en tanto cada vez es más común que los stealers se “lleven” aquellas que guardan inicios de sesión (el session token que se genera con un logueo legítimo). Si bien la empresa tiene medidas de protección en el navegador Chrome (Safe Browsing y detección de amenazas que apuntan a cuentas de Google), ahora sumaron un nuevo desarrollo llamado Application-Bound (App-Bound).
Se trata de un sistema que “en lugar de permitir que cualquier aplicación que se ejecute como el usuario logueado acceda a estos datos, ahora puede cifrar los datos vinculados a la identidad de la aplicación, de forma similar a como funciona el Keychain en macOS”, explicó Google.
El session token es un identificador de sesión que se utiliza en las comunicaciones de red para autenticar una sesión y que un navegador -en el caso de Chrome, que es donde aplica el anuncio de Google- recuerde que el logueo es legítimo. Esto se almacena en una cookie que puede ser robada por un infostealer y, una vez conseguida, permite acceder a una cuenta sin tener que pasar por los distintos factores de autenticación. Explicó la compañía:
Al igual que otros programas que necesitan almacenar secretos, Chrome protege actualmente los datos confidenciales, como las cookies y las contraseñas, utilizando las técnicas más potentes que el sistema operativo pone a nuestra disposición: en macOS se trata de los Keychain services y en Linux utilizamos un wallet proporcionado por el sistema, como kwallet o gnome-libsecret. En Windows, Chrome utiliza la API de protección de datos (DPAPI) que protege los datos fríos de otros usuarios del sistema o de ataques de cold boot. Sin embargo, la DPAPI no protege contra aplicaciones maliciosas capaces de ejecutar código como el usuario conectado, de lo que se aprovechan los infostealers.
Dark News consultó a Emiliano Piscitelli, CEO y fundador de BeyGoo:
Esto es un primer paso y parcialmente podría servir, pero de acuerdo a nuestra experiencia analizando distintos tipos de infostealers desde BeyGoo, podemos afirmar que la lucha contra ellos recién empieza. Por día detectamos más de 10.000 credenciales y datos sensibles expuestos solo a nivel regional. Y, de hecho, varios desarrolladores de este tipo de Malware están afirmando que no los va a afectar, e incluso el creador del Infostealer Lumma, en una conversación con Alon Gal, CTO de Hudson Rock, afirmó: “Chrome no va a detenernos”.
Esta nueva protección ya está disponible en la versión 127 de Chrome.
👟 Las marcas más imitadas en la segunda parte de 2024
Check Point Research (CPR) publicó el ranking de marcas más imitadas para cometer ataques de phishing del segundo trimestre de 2024. Microsoft encabeza la lista, con más de la mitad de los intentos (57%). Apple saltó al segundo puesto del podio (10%) y LinkedIn mantuvo el tercer lugar (7%). Adidas, WhatsApp e Instagram entraron en la lista por primera vez desde 2022.
“El sector tecnológico siguió siendo el más suplantado, seguido de las redes sociales y los bancos. El phishing sigue siendo una de las amenazas más generalizadas y suele ser el punto de entrada de ataques a mucha mayor escala dentro de una cadena de suministro”, asegura el reporte. La lista:
Microsoft (57%)
Apple (10%)
LinkedIn (7%)
Google (6%)
Facebook (1.8%)
Amazon (1.6%)
DHL (0.9%)
Adidas (0.8%)
WhatsApp (0.8%)
Instagram (0.7%)
Los sitios identificados como maliciosos se pueden revisar en el informe de CPR.
🔗 Más info
Salieron varios reportes de threat intel: Coveware, HUMAN Security, NCC Group, Rapid7, Sophos, Sucuri, Tenable, Thinkst y Transmit Security
La ciudad de Columbus (Ohio) sufrió un ciberataque
Check Point Research da a conocer un nuevo proceso de inyección llamado Thread Name
Kaspersky identificó una campaña de leaks falsos de wallets cripto para engañar a usuarios. También encontraron una nueva versión del malware de Android Mandrake que logró colarse en Play Store.
Apple lanzó una serie de actualizaciones de seguridad esta semana
La blockchain Terra perdió 6.8 millones en un hackeo
Un banco de sangre recibe un ataque de ransomware