Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.

8>15 mar

⚡ TL;DR

Argentina tenía, hasta esta semana, una extraña costumbre a la hora de hacer cobros con tarjetas de crédito y débito en comercios: el cliente entregaba su plástico, lo perdía de vista y el comerciante volvía con el cobro ya realizado.

El país tiene un alto índice de ciberestafas. Justo esta semana, Unit 42 (Palo Alto) publicó un reporte que dice que Argentina es el tercer país más atacado de la región. Hay, además, una tendencia en alza donde “los casos de fraude en línea, de usurpación de identidad y secuestro de datos registraron un incremento”, según datos de la Unidad Fiscal Especializada en Ciberdelincuencia.

Esto significa que copiar datos de una tarjeta de un tercero era extremadamente fácil en estas situaciones.

Esta semana salió una resolución en el boletín oficial que prohíbe que el cliente “pierda de vista el plástico”. Por el tipo de cambio que implica para los consumidores, en favor de securizar transacciones, publiqué un reportaje en Clarín para entender los cambios y qué desafíos va a presentar esto en los negocios.

En el plano regional, un usuario colocó a la venta información que sería de la Universidad Nacional de Córdoba y la institución educativa relativizó el hecho al hablar de “un listado de alumnos que se emitió por un error de un docente”.

A nivel global, la Unión Europea ratificó una normativa para regular las implementaciones y desarrollos de inteligencia artificial, un rubro que tuvo mucho impacto en la desinformación y la automatización del ciberdelito con herramientas como ChatGPT, Midjourney y otras tecnologías generativas. Más abajo destaco los puntos que más tienen que ver con estos tópicos.

Una efeméride: el martes de esta semana fue el Día Mundial Contra La Censura Cibernética en Internet, una fecha que llama a reconsiderar las condiciones en la que se usa la red de redes en diversos países. En este sentido, Tor lanzó una nueva herramienta anti-censura, WebTunnel, que funciona como un bridge que no aparece en el directorio público. De esta manera se puede navegar de una forma más segura en países que censuren y controlen el tráfico de los usuarios.

No es un dato menor, considerando las condiciones en las que se realiza periodismo en algunos países de América Latina como México, Ecuador y Honduras.

Por último, en el nuevo grito de la moda IA de cada semana: Microsoft anunció que el 1 de abril lanzará Copilot, su inteligencia artificial, para “soluciones de ciberseguridad”.

Leer este correo te va a llevar 14 minutos

Esta entrega cuenta con el apoyo de:

💳 Los comercios no podrán retener más las tarjetas en Argentina

Una resolución de la Secretaría de Comercio publicada en el boletín oficial ordenó que los comercios de Argentina acerquen al cliente las terminales para pagos electrónicos, conocidas como "posnet", de manera tal que el usuario nunca pierda de vista su tarjeta de crédito o débito durante la transacción. La medida es obligatoria para todos los comercios del país y da 180 días de adecuación.

En Argentina es muy común que los negocios, sobre todo restaurantes y bares, pidan la tarjeta de crédito o débito junto al DNI y el usuario pierda de vista su documentación al momento del cobro. Esto es peligroso porque la información del plástico puede ser copiada para usarla sin autorización del titular.

La nueva reglamentación responde a una demanda de diversos sectores que empujan por la protección de los datos personales y el resguardo ante eventuales robos de información personal y fraudes. Explicó Agustín Merlo, investigador en ciberseguridad independiente:

El principal riesgo que se corría con esta práctica era que saquen fotos de la tarjeta y el DNI de la persona para hacer compras más adelante a nombre de esta persona. Existen otros tipos de fraudes que podían realizarse como la clonación de tarjetas, realizar pagos o cobros adicionales, robo de identidad y hasta la venta de la información del cliente.

“La resolución 87, que salió en el Boletín Oficial y firmó el Secretario de Comercio, Pablo Lavigne, implica una política pública que pone a la Argentina al nivel de lo que sucede en otros países del mundo. Esto es, que el consumidor no quede desapoderado de su tarjeta de crédito o débito al momento de la operación de compra de un bien o servicio”, desarrolló en diálogo con este medio Fernando Blanco Muiño, subsecretario de Defensa del Consumidor y Lealtad Comercial.

La resolución establece un plazo de adecuación de 180 días desde su entrada en vigencia para que los comercios “adapten los servicios de atención al cliente de acuerdo a lo establecido”. Aunque circuló en algunos medios y redes sociales que también se dejaría de pedir el DNI, esto no salió publicado en la resolución.

Uno de los principales impulsores de esta medida fue Daniel Monastersky, abogado especialista en delitos informáticos y protección de datos.

“Hasta este lunes, cuando el cliente quería pagar con tarjeta de crédito o débito, se abrían dos posibilidades: o te llevaban el POS a la mesa, o se llevaban tus tarjetas y, muy probablemente, también tu DNI. Esa muy mala práctica ya estaba siendo cuestionada por quienes abogamos por el cuidado y protección de los datos personales. Hace unos dos años, ya cansado de lidiar con comerciantes y camareros, me prometí llevar adelante una iniciativa para poder generar un cambio. Desde mi cuenta en Twitter y redes sociales personales llevé adelante esta campaña que se llama ‘Sumate al POS’ y de manera ininterrumpida durante todo este tiempo intenté concientizar a la gente sobre esta temática.

Hay dos cuestiones a tener en cuenta con esta nueva resolución. La primera tiene que ver con la implementación, que puede presentar ciertos problemas logísticos. Esto sucede porque las dos principales marcas que operan terminales de pagos en el país, Fiserv y Payway, tienen dispositivos que están pensados para que quien visualiza la información sea el vendedor: Posnet y Payway (ex Lapos).

Esto no es así en todos lados: en Estados Unidos, por ejemplo, las terminales suelen estar en una caja y mirando al cliente. Advirtió el economista Ariel Setton, especialista en medios de pago:

Al comenzar una transacción con chip, banda magnética o contactless, primero hay que pasar la tarjeta, luego incorporar el monto y luego las cuotas. El problema de esto es que el consumidor no tiene forma de ver cuál es el monto que le están cobrando, ni tampoco la cantidad de cuotas en la cuáles está pagando, que es algo muy específico de Argentina, un país que ha implementado las cuotas hace de más de 30 años como líder a nivel regional y global. Y la forma en la que se implementó el proceso no tiene en cuenta estos pasos.

De alguna manera, la transparencia 100% todavía no está implementada. “Dicho eso, sí es posible realizar una transacción en donde el consumidor no pierda de vista en ningún momento la tarjeta, pero esto no implica que el consumidor va a poder tener visibilidad absoluta o completa para dar conformidad de la transacción”, suma.

El segundo punto a tener en cuenta es el del DNI. “La exhibición del DNI está explícita por la Ley de Tarjetas de Crédito, que requiere que el vendedor tenga que comprobar siempre la identidad del comprador. Eso no quiere decir que el comprador se lleve el documento. Pero el documento se va a seguir pidiendo, no cambia con la resolución”, explicó Setton.

“Más allá que la normativa no hace mención al DNI porque eso requeriría una reforma legislativa, es fundamental que aprovechemos esto para que el cambio cultural en materia de protección de datos venga desde todos los ciudadanos. Que nadie manipule ni retenga nuestro documento. La Ley de Tarjetas es clara y es sólo a los efectos de verificar la identidad del titular del plástico”, complementa Monastersky.

En este contexto, lo que sí es concreto es que, tras la nueva resolución, el usuario podrá “exigir que se cumpla, no entregar la tarjeta de crédito ni débito porque la normativa ya está vigente y los comerciantes van a tener 180 días para poder adecuarse”, cerró el abogado.

Y esto, agregó , puede llegar a implicar “comprar los posnets que necesiten en caso de requerir más dispositivos o actualizarlos” para acercarlos al cliente o, como advertía Setton, empezar a usar dispositivos que permitan al consumidor conocer la totalidad del proceso y registrar qué es lo que se está pagando y en cuántas cuotas.

🤖 Europa ratificó la primera ley para regular la inteligencia artificial del mundo

Europa está cada vez más cerca de adoptar la primera norma para regular a la inteligencia artificial en todo el mundo: legisladores de la UE aprobaron el miércoles un acuerdo provisional sobre una tecnología que ya impacta de diversas formas en la vida cotidiana de los usuarios.

Uno de los puntos señalados más importantes por la ley tiene que ver con las fake news y la posibilidad de usar IA para cometer fraudes y ciberestafas, algo que complejizó durante estos últimos años el panorama de amenazas y “democratizó” el acceso a ciertas herramientas para cometer ciberdelitos.

La legislación regulará los modelos de IA de alto impacto (ChatGPT, Gemini y otras) y uso general y los sistemas de IA de alto riesgo, que tendrán que cumplir obligaciones específicas de transparencia y la legislación de la UE sobre derechos de autor.

Además, la norma restringe el uso por parte de los gobiernos de la vigilancia biométrica en tiempo real en espacios públicos, la prevención de amenazas reales, como atentados terroristas, y la búsqueda de personas sospechosas de los delitos más graves.

”Celebro el abrumador apoyo del Parlamento Europeo a nuestra ley de inteligencia artificial, la primera norma global y vinculante del mundo para una inteligencia artificial fiable”, indicó tras el voto el Comisario europeo de Mercado Interior, Thierry Breton.

Un total de 523 legisladores de la UE votaron a favor del acuerdo, mientras que 46 se pronunciaron en contra y 49 se abstuvieron.

Se espera que la legislación entre en vigencia a principios de 2025 y se aplique en 2026, aunque algunas de las disposiciones regirán desde antes.

Entre los puntos que tienen que ver con ciberseguridad y protección de datos personales, están los siguientes:

• Directrices de desarrollo y despliegue más estrictas: los desarrolladores e implantadores de IA tendrán que seguir unas directrices estrictas, garantizando que los sistemas de IA se desarrollen pensando en la seguridad.

• Responsabilidad en incidentes de seguridad: es probable que la Ley incluya disposiciones para responsabilizar a las empresas por security breaches que involucren sistemas de IA. Esto requeriría protocolos de respuesta ante incidentes más estrictos.

• Prevención del uso malintencionado de la IA: la Ley busca evitar el uso de la IA con fines malintencionados, como la creación de deepfakes o la automatización de ciberataques.

• Mitigación de sesgos y discriminación: al tratar los riesgos de sesgo y discriminación en los sistemas de IA, la Ley también beneficia indirectamente a la ciberseguridad. Los sistemas que son justos e imparciales tienen menos probabilidades de ser explotados a través de sus vulnerabilidades. Al abordar los riesgos de parcialidad y discriminación en los sistemas de IA, la Ley contribuye indirectamente a la ciberseguridad.

• Más transparencia: exigencia de una mayor transparencia en las operaciones de IA, especialmente para las de alto riesgo. Esto podría significar una divulgación más detallada de los datos utilizados para entrenar los sistemas de IA.

• Auditorías de certificación y conformidad: los sistemas de IA de alto riesgo tendrán que someterse a rigurosas pruebas y certificaciones que garanticen que cumplen las normas de seguridad de la UE, incluida la ciberseguridad.

• Fomento de la investigación y colaboración: la ley promueve la investigación y colaboración en IA y ciberseguridad, apoyando el desarrollo de tecnologías y estrategias para proteger contra amenazas emergentes.

📹 Okta niega que datos internos se hayan filtrado

Luego de que un usuario colocara información presuntamente robada de la plataforma de autenticación Okta, la compañía salió a desmentir públicamente que el posteo fuera legítimo.

En octubre de 2023, Okta advirtió que sus sistemas de soporte habían sufrido un breach aprovechado por hackers que usaron credenciales robadas.

El sábado, el usuario 'Ddarknotevil' subió una base de datos de Okta que contenía información de 3.800 clientes, que habría sido robada durante el breach de octubre. La información, decía el usuario, contenía IDs, nombres completos, nombres de compañías, emails y números de teléfonos.

Bleeping Computer contactó a Okta y la empresa respondió que la filtración no contiene información interna, sino que es “pública y está en internet”.

"No podemos determinar la fuente de estos datos ni su exactitud, pero observamos que algunos campos tienen fechas de hace más de diez años. Sospechamos que esta información puede estar agregada a partir de fuentes de información pública en Internet”, explicó la empresa, al dar a entender que se trata de un rewash. De manera independiente, Kela confirmó esta información.

Todo lo que tenga que ver con Okta impacta en otras compañías, ya que la plataforma provee servicios de identidades cloud based del tipo SSO (inicio único de sesión) y MFA (autenticación multifactor), ambos muy usados por otras compañías y servicios.

De hecho, el incidente del año pasado arrastró a otras apps como el gestor de contraseñas 1Password.

Esta entrega también cuenta con el apoyo de:

🗼 Sitios oficiales de Francia, bajo ataque DDoS

Diversos sitios web del gobierno de Francia fueron interrumpidos por ataques de denegación de servicio (DDoS). Según un comunicado de la oficina del Primer Ministro Gabriel Attal, distintas páginas experimentaron problemas desde el domingo por la noche, debido a una serie de “ataques convencionales de una intensidad sin precedentes”. 

Por la descripción oficial, diversas agencias infieren un DDoS, lo que es congruente con detecciones del servicio Radar de Cloudflare, quien informó un evento que comenzó en las primeras horas de la mañana del domingo y se intensificó de manera rápida, para disminuir resurgir durante seis horas.

La Direction interministérielle du numérique (DINUM) de Francia -la agencia de transformación digital del país- tomó medidas contra el ataque, mientras que Anonymous Sudán reivindicó la autoría del ataque y afirmó que las defensas de la DINUM eran ineficaces.

Los datos de Cloudflare sugieren picos en los ataques a la capa 7 el lunes y el martes (capa superior del procesamiento de datos que ocurre detrás de las aplicaciones de software con las que interactúan los usuarios).

Según FalconFeeds, Anonymous Sudan no actuó en solitario, sugiriendo que contó “con la ayuda de Rusia, del actor de amenazas prorruso UserSec y de un grupo de amenazas llamado 22C”.

No se reveló el motivo del ataque, pero el presidente francés, Emmanuel Macron, había habalado durante la semana sobre el hecho de que las potencias europeas deban considerar el envío de tropas para luchar junto al ejército de Ucrania.

👮 Administrador de LockBit condenado a 4 años

Un ciudadano ruso-canadiense de 34 años fue condenado a casi cuatro años de cárcel en Canadá por su participación en la operación mundial de ransomware LockBit.

Mikhail Vasiliev, con residencia en Ontario, fue detenido en noviembre de 2022 y acusado por el Departamento de Justicia de Estados Unidos (DoJ) de "conspirar con otros para dañar intencionadamente computadoras protegidas y emitir pedidos de rescate”. Esta semana se declaró culpable.

Se dice que el acusado, cuyo domicilio fue registrado por las autoridades policiales canadienses en agosto y octubre de 2022, guardaba una lista de víctimas "potenciales o históricas" y capturas de pantalla de las comunicaciones intercambiadas con "LockBitSupp", quien se presenta como el administrador del sitio, en la plataforma de mensajería Tox.

En el allanamiento se descubrió también un archivo de texto con instrucciones para desplegar el ransomware LockBit, el código fuente del malware y un panel de control utilizado por el grupo de delincuencia electrónica para distribuir el programa de cifrado de datos.

En mayo del año pasado, el FBI había puesto un precio sobre su cabeza.

🔓 Desarrolladores publicaron más de 12 millones de secretos en repositorios de GitHub

Developers filtraron más de 12 millones de tokens secretos a través de commits de GitHub durante el año pasado. Casi un millón de estos secretos eran claves de API de Google, según un relevamiento de la empresa GitGuardian.

Según explican, sólo el 1,8% de los propietarios de repositorios con los que se contactaron el año pasado tomaron medidas para tapar las filtraciones. En una de sus advertencias, dicen:

Nuestra investigación arroja luz sobre una tendencia preocupante: el 90% de los secretos válidos expuestos permanecen activos durante al menos cinco días después de notificados. Este hallazgo pone de relieve una lección crucial en materia de seguridad del código: si bien la detección de vulnerabilidades es fundamental, el verdadero reto reside en su arreglo. Creemos que la seguridad debe ser una responsabilidad compartida en todas las fases del ciclo de desarrollo del software del ciclo de vida del desarrollo de software (SDLC), y no sólo del dominio de equipos especializados. La concientización sobre estos fallos aparentemente menores es esencial para mitigar los riesgos de la cadena de suministro.

El reporte completo se puede ver en este enlace.

🔗 Más info

• Roku dio a conocer un data breach que afecta a 15 mil cuentas

• Roban 2.1 millones de dólares de la plataforma cripto Unizen

• Airbnb actualiza sus políticas de privacidad y prohíbe las cámaras puertas adentro

• StopCrypt ahora elude detección

• Google pagó 10 millones de dólares en bug bounties en 2023

• Acer reportó un data breach

• La ciudad de Leicester, en Gran Bretaña, sufre un ciberataque

Share